摘要
为方便更多用户了解堡垒机的进阶场景,本篇将从以下几个方面展开介绍骞云平台与堡垒机深度集成的能力:
集成骞云平台和堡垒机系统的UI交互,让用户在通过骞云平台进行资源访问时,平滑无感地过渡到堡垒机的UI;
用户提权的自服务和自动化;
数据库堡垒机的实现,联动数据库审计平台;
虚拟机回收与堡垒机删除或权限回收的联动。
骞云平台与堡垒机系统UI交互
骞云平台能够集成与堡垒机系统的UI交互,用户通过骞云平台进行资源访问时,平滑无感地过渡到堡垒机的UI。
在骞云平台中,所有资源对象均通过抽象为组件,骞云平台的组件支持用户通过脚本自主定义操作,以满足更多的使用场景。
2. 完成自定义操作的添加后,在云主机详情页可看到新增的操作。
点击“主机访问”,骞云平台会跳转到上文定义的URL链接,实现平滑无感地过渡到堡垒机UI。
用户自服务提权
在堡垒机管控场景中,普通用户访问主机往往需要申请访问权限,堡垒机管理员审批通过后,用户才能使用堡垒机访问主机。
骞云平台可以将堡垒机用户提权申请集成在平台上,用户在骞云平台提交提权申请,堡垒机管理员审批通过后,骞云平台将自动调用堡垒机接口,提交临时授权操作,完成整个用户自服务提权流程。
1. 类似上文介绍的添加操作配置,我们在云主机组件中增加一个“堡垒机用户提权”操作:首先添加堡垒机提权操作脚本,该脚本主要实现了用户提交的堡垒机用户提权操作审批通过后,骞云平台调用堡垒机平台创建临时策略,实现自动化提权。
增加一个“堡垒机用户提权”操作,实现方式采用上述脚本。
骞云平台还支持自定义用户提交操作时选择参数,如可以定义让用户选择需要提权的用户和提权时长,平台可以根据用户提交的参数,创建对应的临时权限。
2. 为“堡垒机用户提权”操作定义审批流程。在骞云平台,可以为云主机不同操作定义不同的审批流程。首先,通过骞云平台可视化流程设计来定义一个堡垒机审批流程,然后在授权配置中,对指定用户授权该操作并关联相应的审批流程。
3. 授权的用户在云主机操作中可以查看“堡垒机用户提权”操作,在用户需要提权时,可以点击操作按钮,选择需要提权的用户并填写提权时长。
在用户提交提权申请后,骞云平台自动进入审批流程,用户可以看到当前审批节点。审批完成后,骞云平台自动化执行,调用堡垒机接口,并提交临时授权操作,完成用户堡垒机提权自服务流程。
数据库堡垒机的实现,联动数据库审计平台
骞云平台拥有开放的生态,有着强大的基于组件、低代码的集成与被集成能力,能够通过多种灵活的方案与其他系统集成。在通过服务集成能力与堡垒机平台集成的同时,骞云平台还可以同时集成数据库审计平台,实现数据库堡垒机的注册。
通过数据库审计平台和堡垒机服务集成,在经过部署流程编排后,用户可以自服务提交数据库堡垒机资产申请,骞云平台将调用数据库审计平台将数据库IP和端口传入,并使用从数据库审计平台获取到的IP和端口进行堡垒机资产注册,同时创建堡垒机用户和动态权限组。
1. 与堡垒机的集成类似,将数据库审计/运维平台服务抽象为一个组件并定义可调用的操作及脚本。
3. 在各流程节点中,可以通过配置操作添加服务集成任务的方式,调用第三方服务,如调用数据审计平台,进行审计信息注册。
调用数据库运维平台,实现数据库运维端口的申请和获取。
根据上下文获取数据库返回的端口信息,配置调用堡垒机实现注册。
完成上述流程配置后,用户能够自服务申请数据库堡垒机资产,在资产部署时骞云平台完成完整流程自动化流转。
虚拟机回收与堡垒机删除或权限回收的联动
通过骞云平台强大的事件驱动集成能力,平台能够实现虚拟机回收联动堡垒机的删除或者权限回收的场景。当用户在平台上进行虚拟机回收操作时,通过作业、事件等流程配置,调用已对接的堡垒机,自动同步进行堡垒机资产回收或者权限回收。
1. 对堡垒机组件自定义资产回收和动态权限回收的操作,以便在事件流程中调用。
通过该配置,就能实现虚拟机回收与堡垒机资产、权限回收的联动,在骞云平台上删除资源时自动触发事件完成资产回收闭环。
本文介绍了骞云平台与堡垒机深度集成的几个使用场景,骞云平台将会持续迭代,扩展更多的堡垒机集成解决方案,以满足广大用户的需求,提供更完善的服务,带来更好的用户体验。
